Der Düsseldorfer Kreis, ein Zusammenschluss der deutschen Datenschutzaufsichtsbehörden, hat unter Federführung des Bayerischen Landesamtes für Datenschutzaufsicht eine „Orientierungshilfe“ für die Entwickler und Anbieter mobiler Apps veröffentlicht, die auf dessen Webseite abrufbar ist (http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Orientierungshilfe_Apps_2014.pdf). Damit liegt erstmals ein ausführliches Dokument der nationalen Datenschutzbehörden vor, das sich eingehend mit den datenschutzrechtlichen Anforderungen an die Entwicklung von Apps befasst.
Nachfolgend fassen wir die wichtigsten Punkte dieses Dokuments zusammen:
1. Neues zu den „personenbezogene Daten“?
Der Begriff der personenbezogenen Daten wird neuerdings durch die Behörden sehr umfassend ausgelegt. Ein personenbezogenes Datum im Sinne von § 3 Abs. 1 BDSG sei danach gegeben, soweit eine Information direkt oder auch nur mit Hilfe von Zusatzwissen auf eine Person zurückgeführt werden könne. Man müsse dabei nicht den Namen oder die Adresse dieser Person kennen. Es reiche vielmehr aus, wenn eine Person „identifizierbar“ sei. Vor diesem Hintergrund seien folgende Informationen als personenbezogene Daten zu qualifizieren:
IP-Adresse
Eindeutige Geräte- und Kartenkennungen, die dauerhaft mit dem Gerät bzw. der Karte verbunden sind. Die bekanntesten Kennungen sind:
IMEI
UDID
IMSI
MAC-Adresse
MSISDN
Aber auch der Name des Telefons, Standortdaten, Audiodaten sowie Daten für biometrische Erkennungsverfahren seien geeignet, eine einzelne Person eindeutig zu identifizieren und stellten daher personenbezogene Daten dar.
Das gleiche gelte auch für Informationen über die App-Nutzung, also Informationen darüber, welche App z.B. wann durch den Nutzer genutzt wurde. Auch letztere seien personenbezogene Informationen.
2. Nutzerprofile – nicht für Third Parties?
Die für die Online-Werbewirtschaft sehr wichtige Norm des § 15 Abs. 3 TMG wurde ebenfalls neu qualifiziert. § 15 Abs. 3 TMG gestattet einem Diensteanbieter die Erstellung von Nutzungsprofilen auf der Basis von Nutzungsdaten für Zwecke der Werbung, der Marktforschung und zur bedarfsgerechten Gestaltung von Telemedien unter Pseudonym, soweit der Nutzer nicht widerspricht.
Die Datenschutzbehörden stellten jetzt aber klar, dass diese Regelung des § 15 Abs. 3 TMG nur den Diensteanbieter selbst berechtigen, pseudonymisierte Nutzungsprofile zu Werbezwecken zu nutzen. Eine Verwendung von Nutzungsdaten durch Dritte (z.B. Third Party Advertiser) könne nicht auf diese Regelung gestützt werden. Zum Zwecke der Marktforschung anderer Dienstleister dürften jedoch anonymisierte Nutzungsdaten übermittelt werden (§ 15 Abs. 5 Satz 3 TMG).
Da eindeutige Geräte- und Kartenkennungen wie beispielsweise die IMEI oder auch die IP-Adresse kein Pseudonym darstellten (vgl. oben), dürften diese Daten auch nicht in das Nutzerprofil einfließen, da die Zusammenführung pseudonymer Nutzerprofile mit Daten über den Träger des Pseudonyms unzulässig sei.
3. Neues zum Opt-Out
Die Datenschutzbehörden stellten auch klar, wie ein Opt-Out auszusehen hat:
Die Widerspruchsmöglichkeit müsse effektiv und angemessen sein. Es solle daher eine direkte Opt-Out-Möglichkeit (z. B. über einen Link, die Möglichkeit des „Auskreuzens“) für den Nutzer vorgehalten werden, welche möglichst mit einem Klick aktiviert werden könne. Der bloße Hinweis auf bestimmte Einstellungsmöglichkeiten am Gerät genügten nicht. Auch die Möglichkeit per E-Mail oder postalisch einer Nutzungsprofilerstellung gem. § 15 Abs. 3 TMG zu widersprechen, genüge nicht, da bei einem Widerspruch per Mail oder per Post eine Zuordnung aufgrund des Medienbruches im Allgemeinen nicht erfolgen könne.
Widerspräche der Betroffene der Profilbildung unter Pseudonym, so seien etwa vorhandene Profildaten zu löschen oder wirksam zu anonymisieren.
4. Einholung von Berechtigungen
Es kommt nicht selten vor, dass für die Nutzung einer App Berechtigungen vom Nutzer angefordert werden, z.B. auf den Standort zugreifen zu dürfen oder auf das Adressbuch. Auch diesbezüglich stellten die Datenschutzbehörden jetzt klar, dass nur die für die App unbedingt erforderlichen Berechtigungen vom Nutzer angefordert werden dürfen. Auch wenn ein Nutzer bei der Installation einer App nur pauschale Berechtigungen erteile, dürfe die verantwortliche Stelle dennoch lediglich auf diejenigen Daten zugreifen, die für den verfolgten Zweck unbedingt benötigt würden. So sei z.B. ein Zugriff auf das gesamte Adressbuch des Gerätes mit all den darin hinterlegten persönlichen Informationen des Nutzers und seiner Kontakte und deren Verwendung nicht zulässig, wenn z.B. lediglich eine Adresse für die Navigation mit einer App benötigt werde.
5. Jederzeitige abrufbare Datenschutzerklärung
Die Behörden stellten auch klar, dass unabhängig davon, auf welche Weise ein App-Anbieter zu Beginn des Nutzungsvorgangs die Nutzer über den Umfang der Nutzung seiner Daten informiere, der Nutzer jederzeit die Datenschutzerklärung abrufen können müsse, so dass eine Verankerung der Datenschutzerklärung in der App zwingend erforderlich sei. Die Unterrichtung müsse dabei leicht auffindbar platziert werden, so dass dem Nutzer die Kenntnisnahme der Information ohne Hindernisgründe möglich sei.
Wegen der beschränkten Displaygröße mobiler Endgeräte sind die Datenschutzhinweise vom App-Anbieter derart zu gestalten, dass der Nutzer jederzeit ohne großen Aufwand die gewünschten Informationen erhalten kann. Was die wesentlichen Inhalte der Datenschutzerklärung sind, bestimmt sich anhand des Informationsumfangs der App. Zu den wesentlichen Inhalten können insbesondere Kontaktinformationen des Anbieters, Beschreibung der Datenarten, die von der App erhoben werden (z. B. Standortdaten, Netzkommunikation, Adressbuch, etc.), Erläuterung der Zwecke, für die diese Daten erhoben werden, Speicherdauer, Bezeichnung der Dritten, an die Nutzerdaten übermittelt werden, und der Zweck der Übermittlung an Dritte zählen.
6. Nutzerrechte
Jeder Nutzer, dessen personenbezogene Daten erhoben und verwendet wurden, hat gem. § 34 BDSG das Recht, Auskunft über die durch die verantwortliche Stelle zu seiner Person gespeicherten Daten zu verlangen. Gem. § 35 BDSG kann er dabei Berechtigung, Löschung und Sperrung seiner Daten verlangen. Diese Ansprüche bestehen auch bei der Nutzung einer App für den Nutzer. App-Anbieter sollten deshalb wie auch bei anderen Verarbeitungen von Nutzerdaten auf entsprechende Anfragen von Nutzern vorbereitet sein.
7. Lokale Datenspeicherung
Im Namen der App-Nutzung werden meist Daten auf dem Gerät lokal gespeichert. Dies können Benutzernamen, Zugangstoken, Cookies, Standortdaten, Adressen, etc. sein. Hierbei sollten nur diejenigen personenbezogenen Daten gespeichert werden, die unbedingt für den Betrieb der App notwendig sind.
Diese Daten müssen ausreichend vor unbefugtem Zugriff geschützt werden. Dabei müsse davon ausgegangen werden, dass ein Zugriff auf das Dateisystem des Gerätes von Seiten eines Angreifers erfolgen könne, auch wenn dieser den Geräten Nutzern aufgrund der Plattformbeschränkungen im allgemeinen nicht möglich sei. Bei Speicherung von Daten mit erhöhtem Schutzbedarf müssen diese zusätzlich zu den Schutzmechanismen der Geräteplattform, z.B. Sandboxing, mit starken kryptographischen Verfahren nach aktuellem Stand der Technik abgesichert werden.
8. Standortdaten
Sofern durch die App auf Standortdaten des Gerätes zugegriffen wird, müsse darauf geachtet werden, dass dies nur im zulässigen Umfang geschehe. Hierbei sei zu berücksichtigen, dass nur in der unbedingt nötigen Auflösung auf die Geodaten zugegriffen werden sollte, d.h. dass eine gezielte Verwaschung des Standortes erfolge. Dies könne z. B. durch Nullung von Dezimalstellen in den GPS-Koordinaten innerhalb der App vor Versand an den Backend-Server erreicht werden. Des weiteren sollten Standortdaten, soweit für die Anwendung möglich, nur lokal auf dem Geräte verarbeitet werden.
Die Zulässigkeit einer Weitergabe und Nutzung von Standortdaten (auch nach der „Verwaschung“) an den App-Betreiber oder Dritte sei nur zu bejahen, wenn dies entweder erforderlich sei für die Erbringung des Dienstes oder eine Einwilligung des Nutzers vorliege.
Soweit zu den wichtigsten Datenschutzanforderungen an App-Entwickler und App-Anbieter.
Freilich ist bei den vorgenannten Ausführungen zu berücksichtigen, dass es sich bei den Anforderungen des Düsseldorfer Kreises um die Position der öffentlichen Datenschutzbehörden handelt. Wer also auf datenschutzrechtlich sicherer Seite sein möchte, sollte diese Vorgaben berücksichtigen.
Wer sich unterhalb dieses Niveaus bewegt, handelt nicht automatisch rechtswidrig. Es bleibt vielmehr abzuwarten, wie die Rechtsprechung die Grenzen der Datenschutzanforderungen tatsächlich ziehen wird.